據(jù)多家網(wǎng)絡安全公司稱，利用未修補的 IOS XE 漏洞遭到黑客攻擊的思科設備數(shù)量已達到約 40,000 臺。 

所利用的漏洞是 CVE-2023-20198，這是一個影響 IOS XE Web 界面的嚴重缺陷，未經(jīng)身份驗證的遠程攻擊者可以利用該漏洞進行權(quán)限升級。 

思科尚未發(fā)布補丁，該公司警告稱，該漏洞至少從 9 月中旬起就已被作為零日漏洞利用。

CVE-2023-20198 允許威脅行為者在目標設備上創(chuàng)建高權(quán)限帳戶并完全控制系統(tǒng)。在某些情況下，攻擊者被發(fā)現(xiàn)提供了一個植入程序，使他們能夠執(zhí)行任意命令。 

思科表示，在某些情況下，植入程序是通過跟蹤為 CVE-2021-1435 的較舊缺陷提供的，但以前未知的漏洞也可能被利用，因為該植入程序也被發(fā)現(xiàn)在針對 CVE-2021-1435 修補的系統(tǒng)上。

漏洞情報公司 VulnCheck 在零日漏洞的存在曝光后不久進行了互聯(lián)網(wǎng)掃描，發(fā)現(xiàn)了 10,000 個受到感染的交換機和路由器，但指出隨著掃描的持續(xù)進行，這個數(shù)字可能還會增加。  

雖然 VulnCheck 尚未提供更新，但互聯(lián)網(wǎng)搜索引擎 Censys 在 10 月 17 日進行的掃描顯示，有 67,000 個暴露于互聯(lián)網(wǎng)的 IOS XE Web 界面，其中包括超過 34,000 個似乎被后門的主機。Censys 第二天進行的另一次掃描顯示，被黑客攻擊的系統(tǒng)數(shù)量增加到近 42,000 個。

大多數(shù)受感染的思科設備似乎位于美國，其次是菲律賓和拉丁美洲。印度、泰國、新加坡和澳大利亞也有大量感染病例。

圖片

LeakIX 負責掃描互聯(lián)網(wǎng)上是否存在易受攻擊的系統(tǒng)，最初報告稱在大約 30,000 臺思科設備上發(fā)現(xiàn)了惡意植入，但其最新掃描發(fā)現(xiàn)另外10,000 個受感染的系統(tǒng)。

威脅情報公司 GreyNoise 一直在使用其蜜罐來跟蹤攻擊嘗試，截至 10 月 19 日，它已發(fā)現(xiàn)來自 230 個唯一 IP 地址的攻擊。